Multi-License Discount Quote
Ohtude andmebaas Malware PEAKLIGHT allalaadija

PEAKLIGHT allalaadija

Aastaks Mezo aastal Malware
Tõlgi:
Eesti

Küberjulgeoleku teadlased on avastanud uudse tilguti, mis on loodud järgmiste pahavara etappide juurutamiseks, mis lõpuks sihib Windowsi süsteeme koos teabevarastajate ja laadijatega.

See ainult mäluga tilguti dekrüpteerib ja käivitab PowerShellil põhineva allalaadija, mis on identifitseeritud kui PEAKLIGHT. Selle meetodi kaudu levitatavate pahavara tüvede hulka kuuluvad Lumma Stealer , Hijack Loader (tuntud ka kui DOILoader, IDAT Loader või SHADOWLADDER) ja CryptBot , mida kõiki pakutakse õelvara teenusena (MaaS) mudeli osana.

Esialgne ründevektor ja rünnakuahel

Rünnaku ahel algab Windowsi otsetee (LNK) failiga, mis laaditakse alla draivipõhise allalaadimise meetodite kaudu, näiteks kui kasutajad otsivad veebist filme. Need LNK-failid on pakitud piraatfilmidena maskeeritud ZIP-arhiivi.

Pärast allalaadimist loob LNK-fail ühenduse sisu edastamise võrguga (CDN), mis majutab hägustatud, ainult mälu sisaldavat JavaScripti tilgutit. Seejärel käivitab see tilguti PEAKLIGHT PowerShelli allalaadija skripti ohvri masinas, mis omakorda võtab ühendust käsu- ja juhtimisserveriga (C2), et hankida täiendavaid kasulikke koormusi.

Teadlased on täheldanud erinevaid LNK-failide variatsioone, millest mõned kasutavad metamärke tärnidena (*), et kutsuda välja seaduslik mshta.exe binaarfail, mis võimaldab pahatahtlikku koodi (st dropperit) kaugserverist diskreetselt käivitada.

PEAKLIGHT peidab oma ähvardava tegevuse seaduslike filmide taha

Samuti on leitud, et tilgutajad sisaldavad nii hex-kodeeritud kui ka Base64-kodeeringuga PowerShelli kasulikke koormusi. Need kasulikud koormad pakitakse lahti, et käivitada PEAKLIGHT – tööriist, mis on loodud nakatunud süsteemis hilisema pahavara juurutamiseks, laadides samal ajal alla ka õigustatud filmitreileri, tõenäoliselt peibutusvahendina.

PEAKLIGHT toimib mitmeastmelises täitmisahelas hägustatud PowerShelli-põhise allalaadijana. See otsib ZIP-arhiive kindlatest kõvakodeeritud failiteedest. Kui neid arhiive ei leita, võtab allalaadija ühendust CDN-i saidiga, et arhiivifail alla laadida ja kettale salvestada.

See ei ole esimene pahavara juhtum, mis sihib piraatfilme otsivaid kasutajaid. 2024. aasta juuni alguses avastasid teadlased keeruka nakkusahela, mille tulemusel võeti kasutusele Hijack Loader pärast katset laadida alla videofaili filmi allalaadimise saidilt.

Allalaadijad avavad ukse spetsiaalsemale pahavarale

Allalaadimisprogrammi pahavara kujutab endast mitmeid olulisi ohte nii üksikisikutele kui ka organisatsioonidele:

  • Esialgne kompromiss : allalaadija pahavara on sageli suurema rünnaku esimene etapp. Pärast installimist saab see vaikselt alla laadida ja installida täiendavaid pahatahtlikke koormusi, sealhulgas täiustatud pahavara.
  • Andmete vargus : allalaadimisprogrammi pahavara tarnitud lisakoormus võib hõlmata teabevarastajaid, mis hõivavad privaatseid andmeid, näiteks sisselogimismandaate, finantsteavet ja isikuandmeid, mis toob kaasa identiteedivarguse ja rahalise kahju.
  • Süsteemi kaaperdamine : mõni allalaadimisprogrammi pahavara on loodud kaugjuurdepääsu tööriistade või tagaukse juurutamiseks, võimaldades ründajatel saada kontrolli nakatunud süsteemi üle. See võib kaasa tuua volitamata juurdepääsu ettevõtte võrkudele, andmetega seotud rikkumisi ja süsteemi edasise ohustamise.
  • Lunavara juurutamine : Lunavara installimiseks võib kasutada allalaadija pahavara, mis võib krüptida ohvri failid ja nõuda nende vabastamise eest lunaraha. See võib põhjustada märkimisväärset andmekadu ja tööhäireid.
  • Suurenenud haavatavus : pärast installimist võib allalaadija pahavara nõrgendada süsteemi kaitset ja luua turvaauke, mida muud tüüpi pahavara võivad ära kasutada. See muudab ründajatel ohtlikumate või püsivamate ohtude juurutamise lihtsamaks.
  • Võrgulevi : allalaadija pahavara võib levida võrkudes, nakatades samas keskkonnas teisi seadmeid ja süsteeme. See võib põhjustada laialdast kahju ja muuta tervendamistegevuse keerukamaks.
  • Ressursi tühjendamine : pahavara võib tarbida süsteemiressursse, nagu protsessor ja ribalaius, mis toob kaasa halvenenud jõudluse ja võimalikud teenusekatkestused. See võib mõjutada tootlikkust ja suurendada tegevuskulusid.
  • Õiguslikud ja vastavusriskid : nakatunud organisatsioonidel võivad tekkida juriidilised ja vastavusprobleemid, eriti kui andmetega seotud rikkumine hõlmab tundlikku või reguleeritud teavet. See võib kaasa tuua trahve, õiguslikke meetmeid ja maine kahjustamist.

Üldiselt on allalaadimisprogrammi pahavara tõsine oht, kuna see hõlbustab edasisi ründeid ning mõjutab mõjutatud süsteemide ja võrkude turvalisust ja terviklikkust.

Trendikas

Enim vaadatud

Hüpikaknad „Kui olete 18-aastane, puudutage valikut...

Fake Warning Messages
29,612
Kui olete 18-aastane, puudutage luba, on hüpikaknad, mis kuvatakse Interneti sirvimise ajal kasutaja ekraanile. Need hüpikaknad võivad olla kasutajatele üsna murettekitavad, kuna nad kutsuvad neid üles klõpsama nuppu "Luba", et jätkata praeguse veebisaidi kasutamist. Need hüpikaknad on seotud selliste soovimatute programmidega nagu reklaamvara, mis võib kasutajatele olulisi probleeme tekitada....
Laadimine...